面向Cisco IOS的ROP攻击检测方法
Cisco IOS(Internetwork Operating System)作为Cisco路由器的专用操作系统,其由于硬件条件限制,在设计时更加注重性能而忽视了系统安全,导致无法有效检测面向返回地址编程(Return-Oriented Programming,ROP)的攻击.针对传统的ROP防护技术在解决Cisco IOS防护上存在的缺陷,提出了一种基于返回地址内存哈希验证的方法,能够对面向Cisco IOS的ROP攻击进行有效检测,并对ROP攻击代码进行捕获.通过分析现有针对ROP攻击的防护机制的优缺点,在紧凑型影子内存防护思想的基础上,将传统的影子内存存储模式改造为基于哈希的内存查找模式,增加了返回地址内存指针的记录作为哈希查找的索引,提高了影子内存查找效率,同时能够抵御由于内存泄露导致的影子内存篡改.在Dynamips虚拟化平台的基础上设计实现了CROPDS系统,对所提方法进行了有效验证.与现有方法对比,所提方法在通用性和性能上均有提升,并能够捕获到攻击执行的shellcode.
Cisco IOS、ROP攻击、影子栈、哈希表、攻击检测
49
TP393(计算技术、计算机技术)
国家重点研发计划;科技委基础加强项目
2022-04-08(万方平台首次上网日期,不代表论文的发表时间)
共7页
369-375
